grizzly999

Lokal anmelden verhindert nur, dass Benutzerrichtlinien von der Domäne aktiv sind, Computereinstellungen bleiben davon unberührt. Dafür gibt es auch kein Befehl. Den Computer entweder kurzzeitig in die Domäne zurückbringen, wo eingestellt wurde, dass die Richtlinien entfernt wurden, oder aus der Domäne rausnehmen. Frage: was ist das für ein anderes Netz, ich meine, gehört das auch zur Domäne? Dann muss ich ja nur dafür sorgen, dass dort keine Richtlinien angewandt werden, z.B. die ganzen RL über Standorte regeln. grizzly999

Anleitung habe ich jetzt keine greifabr, aber wo ist dein Problem? Man installiere einen NT Server als PDC, geb der Domäne dabei einen Namen. Fertig ist die Domäne. Bei Bedarf installiere man weitere NT Server als BDCs, fertig. grizzly999

Aber klar doch :D :D grizzly999

Beide Möglichkeiten gehen, aber allgemein wird (auch von den Cracks bei Microsoft) Günthers Methode bevorzugt empfohlen. Wo es geht, eine eigene OU mit eigener Richtlinie machen. Mit Vererbungsunterbrechungen sparsam umgehen, und noch sparsamer mit dem Verweigern von GPO-Berechtigungen. Das sind alles Fallstricke beim Einsatz weiterer Gruppenrichtlinien und die Erschwernisse beim Troubleshooting. grizzly999

Hallo und willkommen im Board :) Wenn du keine RemoteAdmin Möglichkeit hast, musst du direkt hin. Es gibt zwar zwei Einträge in der Registry, in der der Hostname und der NetBIOS-Name stehen, aber ich weiß nicht, ob das die einzigen Einträge in der weiten Registry-Ebene sind, wo der Computername drinsteht. Ich befürchte, in SAM oder Securtiy stehen noch welche binärkodiert. Daher besser nicht über die Registry, sondern lokal machen. Tools oder KB Artikel diesbzgl. sind mir keine bekannt. grizzly999

Du musst im Routing und RAS noch NAT einrichten. In diesem Thread habe ich mal eine Kurzanleitung gepostet: http://www.mcseboard.de/showthread.php?s=&threadid=11297 grizzly999

ISA Server 2004 ist ab heute verfügbar. http://www.heise.de/newsticker/meldung/49055 Habe ihn gerade runtergeladen :) grizzly999

Heute sind neue Sicherheits-Patches von Microsft raugekommen, auch welche mit Status "Critical", und stehen zum download verfügbar. http://www.microsoft.com/security/bulletins/200407_windows.mspx grizzly999

Laut heise-Newsticker gibt es den WUS erst Mitte 2005 :shock: http://www.heise.de/newsticker/meldung/49067 Mal sehen, wann sich Microsoft dazu äußert. Wäre allerdings schade. grizzly999

Könnte auch ein PRC Enpoint Mapper Problem sein (MS-Blast wollte doch auch was von dem :shock: ). Dazu weitere Tests mit dcdiag und netdiag. Siehe auch hier: http://support.microsoft.com/default.aspx?scid=kb;en-us;839880 grizzly999

Das geht mit dsquery nicht. Ein Drucker ist ja auch kein Objekt im AD, sondern nur die veröffentlichte Freigabe. Mit dsquery * kann man sich alle Objekte auswerfen lassen, aber man sieht da nicht, was eine veröffentlichte Druckerfreigabe ist. grizzly999 /edit Da war Velius schneller ;) /edit

Hmm, bei mir steht immer der UPN. Nein, man starte mit certmgr.exe die entsprechende MMC, dort sieht man siene Zertifikate und kann sie auch exportieren, und bei Bedarf den privaten Schlüssel von der Platte löschen. Das wäre dann die sichere Variante mit dem USB-Stick um den Hals :D ;) Wenn man eine auf diese Weise geschützte Datei 30x am Tag öffnen will, dann ja :rolleyes: Das war aber in einem anderen Zusammenhang. IIRC ging es darum, dass mehrere User Verschlüsseln könnn sollen und mehrere auf die verschlüsselten Dateien Zugriff haben sollten, aber nur bei Bedarf oder so, und die anderen User dürfen aber nicht verschlüsseln können. Da gerät man an die Grenzen von EFS bzw. dessen Bedienbarkeit. EFS ist für sowas in seiner Auslegung nicht vorgesehen. CAcert für was nehmen?? grizzly999

Oh, sehe gerade, nur zwei Standorte. Dann vergessen wir das mal mit den Brücken und überhaupt wird das dann weniger Aufwand mit der Fehlersuche. grizzly999

Beginne im DNS, beim primären, wenn Standardzonen, ansonsten beim massgeblichen (steht im SOA wer das ist). Sind alle DCs mit ihren A-Records drin, sind die _msdcs _tcp _udp _sites Einträge vorhanden. Sind dort überall alle DCs eingetragen. Sind hier auch überall alle Standorte eingetragen und stehen die DCs Einträge an den richtigen Standorten. Haben alle DNS dieselben (korrekten) Informationen? Haben alle DCs einen korrekten DNS eingetragen und können diesen erreichen? Dann natürlich die Standorte kontrollieren. Alle da, alle korrekt, alle Subnetze konfiguriert und den Standorten zugewiesen. Dann die Standortverknüpfungen, vermutlich mit RPC über IP. Sind die zwischen den Standorten eingerichtet. Ist die automatische Brücke über die Standortverknüpfung eingerichtet (bräuchte es nicht, aber wenn kein vollständiges Routing möglich, dann darf das Häkchen nicht drin sein). Gibt es Standortverknüpfungsbrücken, wenn das Häkchen für die automatische Generierung drin ist, kannst du aber auch alle manuell erstellten löschen. Sind die Standortverbindungen richtig konfiguriert (Kosten, Intervall, Zeitplan)? Blockieren keine Firewalls die Replikation? Und an den NTDS-Eigenschaften der DCs in AD Standorte und Dienste. Sind die Replikationspartner bei jedem DC eingetragen? Das wäre der Anfang grizzly999

Nein, musst du normalerweise nicht entfernen. Das Objekt wird zwar als DC im AD gefunden, aber er fragt nach, ob du ein das alte Objekt mit dem neuen überschreiben willst, was du natürlich bejahst. Dann sollte es ohne gehen. Aber wie im Lotto so schön gesagt: Alle Angaben ohne Gewähr :D grizzly999

Sorry, ziehe den zurück und entschuldige mich ;) Dem ist auch so, MAC -> Layer2, ICMP, IP und ARP Layer 3. Und auch eine Drucker, eine Printerbox und andere Geräte, die IP-Adressen haben können, haben ein vollwertiges TCP/IP-Protokoll bekommen. Normalerweise ja, sofern die Adresszuordnung nicht schon im ARP-Cache liegt, dann bleibt der ARP-Request aus, weil die Zuordnung schon lokal vorhanden ist Genau DAS ist aber der Trick: Auf einen ARP-Request würde das Teil nie antworten, weil es hat ja keine IP-Adresse. Mit arp -s lege ich die MAC mit zugehöriger (Wunsch-)IP-Adresse in den ARP-Cache rein, der ARP-Request, der eben nie nicht beantwortet werden würde, bleibt aus. Stattdessen wird sofort das ICMP Paket verschickt. Die NIC des Ziels prüft die MAC-Adresse, die stimmt, und gibt das Segment nach oben zu IP. IP prüft die DST-IP und müsste eigentlich das Segment verwerfen, weil es ja keine eigene IP hat. Und ich vermute, dass genau dort programmiertechnisch eingegriffen wurde. Statt das Segment zu verwerfen geht das Gerät her und trägt sich die IP ein, weil es muss ja für mich sein, denn Layer 2 hat ja die MAC geprüft. Dies geschieht aber nicht, wenn schon eine IP-Adresse eingetragen wurde. Das ist übrigens einer der wenigen Fälle, wo trotz CIDR die alte Klassierung der Adressen noch durchscheint. Es wird ja im Frame keine SubnetMask mitgeliefert, welche soll sich das Gerät jetzt eintragen?! Es greift dabei auf die alte Klassierung zurück, also eine 10.1.1.185 würde das Gerät sich mit 255.0.0.0 eintragen. grizzly999

Okay wie geht das mit arp -s? Einige Geräte, dazu zählen bekanntenmasen Printserverboxen und teilweise auch Drucker mit NIC (möglicherweise aber nicht alle), kommen mit einer Konfiguration aus dem Werk, in der meist keine Adresse eingetragen ist. Man braucht dann immer andere Protokolle oder herstellerspezifische Software, mit der man dann auf das Gerät kommt, um es zu konfigurieren. Deshalb hat sich irgend jemand Schlaues mal einfallen lassen, dass man da dem IP-Stack was einprogrammieren könnte, dass nämlich in einer "Grundeinstellung" (wie die hergestellt wird und exakt aussieht???), wenn ein ICMP Echo Paket an die eigene MAC mit einer bestimmten IP kommt, man aber überhaupt keine IP hat, das Gerät sich diese IP einträgt. Das geht offensichtlich - selber schon getestet - nur wenn das Gerät sich in dieser Grundeinstellung befindet. Hat das Gerät eine zugewiesene IP, dann geht das nicht mehr, erst nach dem Resetten in den Factory Default. Geht auch nur bei den dafür vorbereiteten Geräten, PCs usw. sind da außen vor (logischerweise), meist Geräten, die eben ohne Konsole auf eine IP gebracht werden müssen. Probiere es aus, das Vorgehen steht auch meist in den Handbüchern drin, am ehesten bei Druckerboxen. Sorry wenn ich entrgegen meiner Gewohnheit hier nur etwas vage die dahintersteckende Technik beschreiben kann, das ist aber das, was man nachlesen kann und ich in der Praxis oft genug gemacht habe ;) grizzly999

@Luccyyyyyyyy, bischen daneben, wa :suspect: grizzly999

Neben diversen Freeware und Shareware FTP-Servern (googlen hilft) hat XP selber auch einen: Start->Systemsteuerung->Software->Windows Komponenten hinzufügen -> Internetinformationsdienste dort FTP anhaken. grizzly999

Die ResourcenDomänen vertrauen einseitig der Kontendomäne (Masterdomäne). Hat man mehrere Kontendomänen, vertauen die sich untereienander zweiseitig. Zum Einrichten wüsste ich jetzt wie es geht, aber so lange Romane wollte ich nicht tippen, daher in der KB nachschauen, grizzly999

Tja, habe ich auch nicht gesagt, sondern du :p (und ich nicht nachgeschaut :rolleyes: ). Das wird mit dem Zertifikatsdienst bei dessen Installation mitinstalliert grizzly999

Das wirst du wohl auf jedem Rechner manuell installieren müssen, den FTP-Server. TCP/IP-Basics: einen Port kann man nicht einfach so öffnen, da steckt irgend ein Programm dahinter, ein ClientProgramm oder ein Serverprogramm. Wenn von aussen auf den Port zugreifen willst, dann benötigst du ein Serverprogramm, das die Anforderung auf den Port annimmt. Und außerdem sollten die dann auch mit einem bestimmten Protokoll reden, das schnitzt sich der Rechner nicht aus den Bit-Rippen, sondern, das muss man installieren, und das heißt bei dir numal FTP. Und wenn nicht drauf, ein FTP-Server, dann ....... :rolleyes: grizzly999

Dann installiere einen FTP-Server und du hast den Port 21 offen ;) grizzly999

Du bekommst ein neues welcome Kit, weil neue Zertifizierung. Allerdinga wie seit einiger Zeit nur auf deine Anforderung hin, nicht automatisch. grizzly999

Naja, man liest das eine oder andere zu den Microsoft Produkten :) Ich kenne für Exchange nur die Schwarten von Microsft, gebe daher die Frage frei und weiter an Günther oder andere Belesene ;) grizzly999